最近�,朋友公司遇到了一件讓他們“寢食難安”的事:他們的短信驗證碼接口被人盯上了,充進去的錢沒多久就被刷得一分不剩����。不充錢�,業務直接受影響�;但充錢吧,就像往無底洞里灌水���。他們聯系短信服務商����,對方反饋說可能是“被惡意盜刷”。由于他們沒自己的IT團隊,App是找外包做的�,現在處于無人維護狀態����。老板希望在不改代碼的前提下想個辦法幫忙止血�。
斷癥:不是Bug,而是接口在裸奔
這個App已經穩定運行了兩年左右����,程序 bug 的可能性比較小����。我們懷疑是短信平臺信息泄露,或者接口被惡意程序利用。我上服務器看了下���,他們部署非常簡單:前端用 Nginx 直接代理后端 Java 服務。打開 Nginx 日志發現有人以每秒3-6次的頻率請求獲取短信驗證碼的URL����。并且接口調用未做二次驗證�,這就等于把“發驗證碼”的權限完全開放了���。哎���!機會就這樣留給了別有用心的人�。
亡羊補牢
這種情況,不改代碼確實有點難搞�。從Nginx日志上可以看到����,攻擊者使用了大量代理IP�,每次請求的IP和參數都在變化�,所以沒辦法通過IP黑名單的方式解決問題。我們只能寄希望于App在請求接口的時攜帶了攻擊者不具備的標識����。由于Nginx無法直接打印完整請求頭���,所以考慮用OpenResty通過Lua腳步把所有的請求頭內容輸出到日志里(這個接口是Get請求)�。又只能在夜深人靜的時候加班學習���,好在以前了解過一點OpenResty的知識����。
分析請求頭
先折騰了一個簡單腳本來分析請求頭,要是這一關過不了,那基本可以放棄這個思路了���。
location /api/reg/getCode {
content_by_lua_block {
for k, v in pairs(ngx.req.get_headers()) do
ngx.say(k, ": ", v)
end
}
}
經過一番分析,發現App在每個請求上都帶上了一個版本號信息(雖然還在1.0.0),好在正好可以用來區分是否為惡意請求���。
基于請求頭做驗證
接下來,就是利用 Nginx 的 map 指令判斷請求頭中是否包含指定版本號字段。命中放行,沒命中就攔下。
代碼如下:
http {
map $http_app_version $allow {
default 0;
"~*xxx_1.0.0" 1;
}
server {
listen 80;
server_name xxx.xxx.com;
location /api/reg/getCode {
if ($allow = 0) {
return 403;
}
proxy_pass http://java_service;
}
}
}
部署上去后看了下 Java 的日志����,接口盜刷的請求直接被干掉�,效果顯著���。
以假亂真
雖然攔截成功���,但返回403會暴露我們的防御策略����,容易引起對手的注意����,分分鐘就能突破這道薄弱的屏障。于是做了個升級:在nginx攔截到請求后����,直接返回請求成功的響應結果����,從此以后雙方都可以保持“成功”的假象�。
改動如下:
location /api/reg/getCode {
if ($allow = 0) {
add_header Content-Type application/json;
return 200 '{"code":"200","message":"驗證碼發送成功","success":true}';
}
proxy_pass http:
}
經測試,妥妥的���,在不看日志的情況下,根本看不出到底有沒有真的請求到 Java 服務����。
總結
一直不太能理解�,這種攻擊到底圖個啥。既沒帶來直接利益�,還要花成本搞代理搞腳本����,這不是典型的損人不利己嗎����。在之后的幾天里,一切又恢復到了往日的寧靜�。雖然事情已經告一段落����,但臨時止血不是長久之計�,解決這類問題還是需加強程序安全驗證,提升攻擊難度����。
最后
關于OpenResty,可以翻閱我的OpenResty學習筆記���,歡迎點贊支持。
400 186 1886
